TIETOTURVALLISUUDEN OHJAUSRYHMÄ Aika: Perjantai 9.6.2017 klo 12.00-14.00 Paikka: Rehtoraatin kokoushuone, Kärki Ohjausryhmän jäsenet: hallintojohtaja Kirsi Moisander (puheenjohtaja) professori Ismo Hakala (Kokkolan yliopistokeskus Chydenius) kehittämispäällikkö Merja Karjalainen (avoin yliopisto) professori Raine Koskimaa (humanistis-yhteiskuntatieteellinen tiedekunta) dekaani Henrik Kunttu (matemaattis-luonnontieteellinen tiedekunta) yliopistonlehtori Riitta Ollila (kauppakorkeakoulu) varadekaani Timo Tiihonen (informaatioteknologian tiedekunta) digijohtaja Ari Hirvonen turvallisuuspäällikkö Olli-Pekka Laakso (asiantuntijajäsen) tietoturvapäällikkö Teijo Roine (sihteeri) suunnittelija Marjo Havila (sihteeri) Muistio 1. Kokouksen avaus Puheenjohtaja avasi kokouksen klo 12.09 2. Asialistan hyväksyminen Hyväksyttiin asialista. 3. Tietoturvaperiaatteet Käytiin läpi tietoturvapolitiikan- ja periaatteiden tausta ja käsittely tähän mennessä: - turvallisuuspolitiikka hyväksyttiin hallituksessa 14.3.2017 - tietoturvaperiaatteet täsmentää tietoturvapolitiikkaa, määrittelee tietoturvan tavoitteita, keinoja, vastuita ja organisointia - niitä sovelletaan kaikkeen yliopistossa tapahtuvaan tiedon käsittelyyn - ne koskevat kaikkia, sekä henkilökuntaa että opiskelijoita Tietoturvan tavoitteita: 1 / 7
- tukee yliopiston strategisten tavoitteiden tuloksellista toteutumista - varmistaa tiedon suojaamisen, oikeellisuuden ja käytettävyyden käyttötarkoituksessaan - turvaa toiminnan jatkuvuuden kaikissa olosuhteissa - parantaa tiedonkäsittelyn ja toiminnan laatua - lisää kokonaisturvallisuutta - turvaa tietojärjestelmien, palveluiden ja tietoverkkojen toimintaa - varmistaa toimintaympäristön ja tapojen riittävän turvallisuuden - täyttää valtionhallinnon tietoturvan perustason vaatimukset kuitenkin riittävän turvallisuuden periaatetta noudattaen - yliopistossa käsiteltävät tiedot ja tietovarannot, tietojenkäsittely-ympäristöt ja tietojärjestelmät on tunnistettu ja luokiteltu - jatkuva kehittäminen - takaa henkilöstölle mahdollisuuden säännölliseen tietoturvaosaamisen kartuttamiseen - ottaa huomioon kyberturvallisuuden ja digitaalisen turvallisuuden ilmiöt Tietoturvan keinoja: - Riskienhallinta - Toiminnan jatkuva kehittäminen - Vaatimustenmukaisuus, kuitenkin riittävän turvallisuuden periaatteella soveltuvuus yliopistomaailmaan, kustannusvaikutukset, uhkien tunnistaminen sekä dokumentoidut korvaavat menettelyt mahdollisia - Jatkuvuus-, toipumis- ja valmiussuunnittelu ainakin kriittisiin toimintoihin, prosesseihin ja järjestelmiin sekä harjoittelu - Poikkeamien hallittu käsittely ja nopea reagointi - Toimintatapojen kehittäminen ja ohjaaminen - Ohjeistaminen, kouluttaminen ja tiedottaminen - Tekniset ratkaisut Suojattava tieto - Yliopistossa käsiteltävä tieto on tunnistettu ja omistajuus määritelty - Salassa pidettävä tieto luokitellaan luottamukselliseen ja salaiseen tietoon ja sitä käsitellään luokkakohtaisten ohjeiden mukaisesti - Salassa pidettävää tietoa käsitellään pääsääntöisesti yliopiston tarjoamilla välineillä o luottamuksellisia tietoja voidaan käsitellä yliopiston hyväksymissä ja yliopiston sopimissa pilvipalveluissa o salaisia tietoja käsitellään ainoastaan yliopiston tarjoamilla välineillä ja palveluissa - Henkilötietojen ja arkaluonteisten henkilötietojen käsittelyssä noudatetaan erityistä huolellisuutta o henkilötietoja käsitellään pääsääntöisesti yliopiston tarjoamilla välineillä ja palveluissa o arkaluonteisia henkilötietoja ei saa käsitellä etäyhteyden kautta 2 / 7
o arkaluonteisia henkilötietoja käsitteleviin järjestelmiin sovelletaan vahvaa tunnistautumista Aineisto on arvioitava huolellisesti ennen kuin se menee pilvipalveluun. Laitoksilla tutkijan arjessa käsitellään henkilölistoja, raportteja, budjetteja jne. eri maissa olevien tutkijoiden kesken, jolloin helposti käytetään pilvipalvelua. Dropboxiin voi myös vahingossa tallentaa aineistoa. Pilvipalvelujen käyttöä tulisi arvioida ja tiedottaa siitä yhteisöä. Pääsy- ja käyttöoikeudet ja henkilöturvallisuus - Pääsy- ja käyttöoikeudet perustuvat työsuhteeseen, opinto-oikeuteen tai muuhun henkilön ja yliopiston väliseen sopimukseen - Oikeudet annetaan vain tehtävien edellyttämässä laajuudessa - Oikeudet salassa pidettävään tietoon ja henkilötietoihin annetaan vain tehtävän sitä edellyttäessä (need-to-know) - Sopimussuhteen päättyessä oikeudet poistetaan - Oikeudet tarkastetaan aina työtehtävien tai käyttäjäroolin muuttuessa ja vuosittain - Henkilöturvallisuusselvityksiä tehdään tehtävien sitä edellyttäessä - Pääsääntöisesti henkilökunta kytkeytyy yliopiston verkkoon yliopiston hallinnoimilla laitteilla ja tunnuksilla o omat laitteet ovat sallittuja, ellei tietojenkäsittely-ympäristöstä muuta johdu - Opiskelijat voivat kytkeytyä yliopiston verkkoon omilla laitteillaan ja yliopiston antamilla tunnuksilla Ohjausryhmässä käydyn keskustelun perusteella muutettiin omien laitteiden käyttöä koskeva kohta aiemmin esitettyyn tiukempaan muotoon: - Omia laitteita käyttävät vastaavat itse o laitteidensa tietoturvasta o laitteilla käsiteltävien tietojen suojaamisesta ja huolehtivat, ettei laitteiden käyttö vaaranna yliopiston verkon ja siellä tarjottavien palveluiden turvallisuutta Tietotekniset laitteet ja tietojärjestelmät - Jokaisella tietojärjestelmällä ja henkilörekisterillä on nimetty omistaja o omistaja vastaa tarvittavista järjestelmä- tai henkilörekisteriselosteista o omistaja vastaa käyttövaltuuksien myöntämisestä yleiset ja yhteiset palvelut: IT-palvelut yksiköiden substanssijärjestelmät: omistaja - Päätelaitteet, palvelimet, tietoliikennelaitteet, tietojärjestelmät ja sovellukset lisenssitietoineen luetteloidaan o yleiset ja yhteiset palvelut: IT-palvelut 3 / 7
o yksiköiden substanssijärjestelmät: omistaja Hankinnat ja yhteistyö - Hankittaessa ja kehitettäessä tietojärjestelmiä määritellään tietoturvan ja henkilötietojen käsittelyn osalta tietosuojan vaatimukset kirjallisesti ja dokumentoidaan toteutus - Yliopiston ulkopuolelta hankittavien palveluiden tietoturvasta sovitaan palvelun tuottajan kanssa o tietoturvan ja tietosuojan vaatimukset määritellään tarjouspyynnön yhteydessä ja niitä tarkennetaan hankintavaiheessa o Vaatimusmäärittelyssä otetaan huomioon tietoturvan ja suojan tarpeet o palvelusopimuksiin tietoturva- ja tietosuojaehdot - Yhteistyö/sopimuskumppaneiden kanssa tietoturvasta sovitaan erikseen - Yliopiston toiminnan kannalta kriittisiin järjestelmiin ja palveluihin tehdään ulkopuolisen arvioijan toimesta tietoturvatarkastus ennen tuotantoon ottoa ja sen jälkeen auditointisuunnitelman mukaisesti Tietoturvaa ohjaavat tekijät - Yliopiston tietoturvatoiminnassa noudatetaan ylipiston johtosääntöä. Johtosäännössä mainittujen lakien ja asetusten lisäksi tietoturvaan liittyviä keskeisiä lakeja ovat: o laki viranomaisen toiminnan julkisuudesta (julkisuuslaki 1999/621) o Euroopan parlamentin ja neuvoston asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (EU:n tietosuoja-asetus 2016/679) o henkilötietolaki (1999/523) o laki yksityisyyden suojasta työelämässä (2004/759) o tietoyhteiskuntakaari (2014/917) o turvallisuusselvityslaki (2014/726) o rikoslaki (1889/39) - Valtionhallinnon VAHTI-ohjeet ja ISO 27 000 Vastuut ja organisointi - Tietoturvasta vastaa yliopiston rehtori hallintojohtajan avustamana o tiedekuntien tietoturvasta vastaavat dekaanit o erillislaitosten tietoturvasta vastaavat laitosten johtajat o yliopistopalveluiden tietoturvasta vastaa hallintojohtaja - Tietoturvatoimintaa yliopistossa ohjaa tietoturvallisuuden ohjausryhmä - Tietoturvallisuuden toteutumisesta yliopistossa vastaa tietoturvapäällikkö - Tietoturvallisuuden toteuttamisen tukena toimii yliopiston tietoturvaryhmä - Tietosuojasta vastaa rekisterinpitäjä 4 / 7
- Tietosuojavastaava seuraa ja valvoo, että tietosuoja-asetusta sekä muita tietosuojalainsäännöksiä ja rekisterinpitäjän toimintamenettelyjä noudatetaan - Tietoturvan- ja suojan toimeenpanoa ohjaavat tietoturvapäällikkö ja tietosuojavastaava - Esimiesten tehtävä on huolehtia, että heidän henkilöstönsä o tuntee tietoturvaperiaatteet ja -vastuut o saa tarvittavan koulutuksen - Tietoturvan toteuttamisesta teknisissä järjestelmissä (tekninen tietoturva) ja valvonnasta niissä vastaa o yleisten palveluiden osalta IT-palvelut o yksiköiden omien palveluiden osalta järjestelmän omistaja - Kunkin tietojärjestelmän, tietovarannon tai palvelun tietoturvallisuuden toteutumisen seurannasta ja valvonnasta vastaa järjestelmän, aineiston tai palvelun omistaja - Jokainen yliopiston henkilökunnan jäsen ja opiskelija sekä yliopiston tarjoamiin palveluihin käyttöoikeuden saanut käyttäjä on velvollinen noudattamaan annettuja ohjeita - Jokainen vastaa omalla toiminnallaan tietoturvan toteutumisesta ja edistää hyvän tietoturvakulttuurin kehittymistä - Jokaisen työntekijän velvollisuus on ilmoittaa havaitsemistaan tietoturvapoikkeamista ja puutteista sekä epäilemistään väärinkäytöksistä tai tietoturvarikkomuksista tietoturvapäällikölle (tietoturva@jyu.fi) tai omalle esimiehelleen Henkilökunnan perehdytyksessä käsitellään tietoturvan ja salassa pidettävän tiedon perusperiaatteet. Henkilötietoja ja salassa pidettäviä tietoja työtehtävissään käsittelevät saavat erillisen koulutuksen. Perehdytyksiin ja koulutuksiin osallistuvista pidetään kirjaa ja osaamisen tasoa arvioidaan verkkotesteillä. Keskusteltiin yliopiston prosesseista, joissa tietojärjestelmä ei tue organisaation prosesseja, kuten työsuunnitelmaprosessi. Periaatteiden ja ohjeiden noudattaminen - Jokainen työ-, opiskelu- tai muussa sopimussuhteessa oleva on velvollinen noudattamaan tietoturvaperiaatteita ja ohjeita sekä muita järjestelmien ja palveluiden käyttösääntöjä - Laiminlyönnin seuraamukset henkilökunnalle o ohjaava puhuttelu o suullinen huomautus o kirjallinen varoitus o irtisanominen o työsuhteen purkaminen - Laiminlyönnin seuraamukset opiskelijoille o ohjaava puhuttelu 5 / 7
o suullinen huomautus o kirjallinen varoitus o määräaikainen erottaminen - Jos kyseessä on rikosepäily, päättää hallintojohtaja tutkintapyynnön tekemisestä poliisille o rikosepäilyn tapauksessa käyttöoikeudet voidaan sulkea määräajaksi o käyttöoikeudet voidaan sulkea myös yliopiston tietoturvan vaarantuessa merkittävästi käyttäjän toimien takia Ohjaavaan puhutteluun johtava tilanne on esim. se, että käyttäjä on kadottanut tunnuksensa. Ohjaava puhuttelu tarkoittaa tietoturvallisuuspäällikön yhteydenottoa, jolla osoitetaan, että teolla on vaikutuksia ja yliopisto suhtautuu siihen vakavasti. Puhuttelut tulee dokumentoida. Seuranta ja valvonta - Tietojärjestelmän, tietovarannon tai palvelun tietoturvavalvonnasta vastaa järjestelmän, aineiston tai palvelun omistaja - Hallinnollisen tietoturvan toteutumista seurataan o auditoinneilla (ulkoiset auditonnit, sisäiset arvioinnit ja itsearviot) o sisäisen tarkastuksen toimin o katselmuksin - Tietoturvan toteutumista valvotaan myös o teknisen valvonnan avulla (lokitus) o Säännöllisin haavoittuvuusskannauksin o Viranomaisten sekä ohjelmisto- ja laitetoimittajien haavoittuvuustiedotusta seuraamalla - Ulkopuolisten ostopalveluiden tietoturvallisuus pyritään varmistamaan sisällyttämällä sopimuksiin auditointioikeus palveluntuottajan prosesseihin - Tietosuojavastaava valvoo tietosuojasäännöstön, ohjeiden ja henkilötietojen käsittelyn asianmukaisuutta - Jokainen on velvollinen ilmoittamaan tietoturvapoikkeamista tietoturvapäällikölle (tietoturva@jyu.fi) o poikkeamien käsittely kuvataan erillisessä ohjeessa o rikosepäilyssä hallintojohtaja päättää tutkintapyynnön tekemisestä Politiikan ja periaatteiden hyväksyntä - Tietoturvapolitiikan osana turvallisuuspolitiikkaa o katselmoi tietoturvan ohjausryhmä o hyväksyy yliopiston hallitus o viiden vuoden välein - Tietoturvaperiaatteet 6 / 7
o katselmoi tietoturvan ohjaustyhmä o hyväksyy yliopiston rehtori o vuosittain Tietoturvapoikkeamista tulee erillinen ohje. Rehtori allekirjoittaa tietoturvaperiaatteet. Periaatteet arvioidaan vuosittain. Dokumenttiin kirjataan koko valmisteluprosessi. Tietoturvaperiaatteiden jalkautus on mietittävä tarkasti. Keskusteltiin verkkoperehdytyksestä, joka tulisi pakotetusti henkilökunnalle ja opiskelijoille koneen avausvaiheessa esimerkiksi pari kertaa vuodessa. Harjoittelija kokoaa verkkokoulutuspaketin. Yksi yhteinen paketti kaikille ei kuitenkaan toimi, vaan on oltava erilaiset sen mukaan, mitä eri ryhmät tehtävissään erityisesti tarvitsevat. Tehdään kaikille yhteinen pakotettu osio, mutta jatkossa myös eri ryhmille kohdennettu paketti. 4. Muut asiat Ei muita asioita. 5. Seuraava kokous Seuraava kokous pidetään perjantaina 25.8. klo 12.00-14.00 yliopiston päärakennuksessa Rehtoraatissa kollegion kokoushuoneessa. 6. Kokouksen päättäminen Puheenjohtaja päätti kokouksen klo 13.30. 7 / 7